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RESUME 

La  problematique  classique  de  la  protection  en  bordure  des  systemes  d ’information  interconnects  evolue 
aujourd’hui  vers  la  mise  en  oeuvre  du  principe  de  «  defense  en  profondeur  »  ;  la  protection  des  systemes 
d ’information  repose  alors  sur  une  succession  de  couches  de  protection ,  renforcees  par  des  outils  de 
veille,  d’alarme  et  de  reaction. 

Dans  une  vision  integree  d’un  systeme  d’ information,  la  protection  de  bordure  doit  ainsi  etre  soutenue par 
des  dispositifs  intervenant  aussi  en  interne  au  SI :  systemes  de  controle  comme  les  IDS1,  systeme  d’alarme 
et  de  reaction  automatique,  systemes  de  derivation  des  attaques. 

De  nombreux  outils  sont  disponibles  sur  le  marche  ou  le  Web,  mais  le  probleme  essentiel  reste  la  mise  en 
coherence  de  ces  dispositifs. 


1  Intrusion  Detection  system 


Communication  presentee  tors  du  symposium  RTO  1ST  sur  “La  defense  adaptative  pour  les  reseawc  non  classifies", 
organise  a  Toulouse,  France,  du  19  au  20  avril  2004,  et publie  dansRTO-MP-lST-041. 
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Glossaire 

Alerte 

Suite  a  une  alarme,  avertissement  pouvant  etre  de  diverses  formes  :  e-mail,  trappe 
SNMP,  bip  sonore. . . 

Analyse  Forensic  ou  analyse  post-mortem 

Branche  complete  de  l’informatique,  chargee  de  la  recuperation  des  donnees  sur 
des  supports  corrompus  ou  efface. 

Attaque  par  buffer  overflow  (ou 
Debordement  de  Tampon) 

Des  vulnerability  par  debordement  de  tampon  apparaissent  quand  les 
developpeurs  utilisent  de  mauvaises  methodes  de  codage  pour  effectuer  une 
fonction  dans  un  programme.  Certaines  fonctions,  notamment  en  C,  ne  controlent 
pas  la  taille  de  leurs  arguments.  Ceci  cree  une  faille  que  certains  attaquants  sont 
capables  d’exploiter  afin  d’obtenir  un  acces  sur  le  systeme. 

Attaque  par  Deni  de  Service  (DoS  pour 
Denial  of  Service) 

Attaque  visant  la  disponibilite  d’un  systeme  (reseau,  services. . .). 

Cheval  de  Troie 

Programme  qui  se  cache  dans  d'autres  logiciels  et  qui  permet  de  penetrer  les 
systemes  informatiques. 

Classification 

Systeme  de  codification  indiquant  le  degre  de  confidentialite. 

Cracker 

Personne  qui  casse  les  codes  d'acces  ou  les  clefs  de  securite  des  logiciels. 

Cryptogramme 

Texte  chiffre. 

Cryptographic 

Relatif  aux  moyens  de  chiffrement  qui  permettent  de  rendre  illisible  une 
information  a  toute  personne  ne  partageant  pas  le  secret  pour  la  dechiffrer. 

Cryptographic  Asymetrique 

Chaque  entite  possede  deux  cles  :  une  cle  publique  de  chiffrement  qui  permet  de 
chiffrer  les  messages  qui  lui  sont  destines,  et  une  cle  privee  qui  lui  permet,  a  elle 
seule,  de  lire  les  message  qui  ont  ete  chiffres  avec  sa  cle  publique. 

Cryptographic  Symetrique 

Chaque  entite  possede  la  meme  cle  qui  permet  de  chiffrer  et  de  de  chiffrer  une 
information. 

Cypherpunk 

Hacker  qui  s'interesse  au  cryptage  des  donnees  informatiques  (fichiers,  mots  de 
passe,  etc). 

Evenement 

Action  sur  un  systeme  d’information  pouvant  faire  l’objet  d’un  enregistrement. 

Faille 

Breche  dans  la  securite  d'un  systeme  informatique  laissee  par  les  concepteurs  et  la 
maintenance  technique. 

Faux-negatif  (false  negative) 

Action  malicieuse  non  detectee  par  le  systeme  de  detection  d’ intrusion. 

Faux-positif  (false  positive) 

Action  non  malicieuse  detectee  comme  etant  dangereuse  par  le  systeme  de 
detection  d’ intrusion. 

FIC,  File  integrity  checker,  verificateur 
d’integrite  de  fichier 

Outil  permettant  la  surveillance  d’un  systeme  vis-a-vis  de  toute  modification  de 
ses  fichiers.  11  surveille  l’etat  de  ceux-ci  et  peut  parfois  restaurer  l’etat  initial  par 
recuperation  sur  une  copie  protegee. 

Firewall  (pare-feu) 

«  Dispositif  informatique  qui  filtre  les  flux  d’information  entre  un  reseau  interne  a 
un  organisme  et  un  reseau  exteme  en  vue  de  neutraliser  les  tentatives  de 
penetration  en  provenance  de  l’exterieur  et  de  maitriser  les  acces  vers  l’interieur  » 
{Journal  Officiel  de  la  Republique  frangaise,  16  mars  1999,  «  Vocabulaire  de 
l’informatique  et  de  l’intemet  »).Voir  garde  barriere. 

Garde  Barriere 

Dispositif  logiciel  ou  materiel  effectuant  un  filtrage  statique  ou  dynamique  sur  les 
donnees  transitant  entre  deux  reseaux  ou  plus. 

Habilitation  de  personnel 

Reconnaissance  de  la  capacite  d'une  personne  a  accomplir  en  securite  les  taches 
fixees 

Hacker 

Voir  pirate  informatique. 

Homologation 

Autorisation  d'utiliser,  dans  un  but  precise  ou  dans  des  conditions  prevues,  un 
produit,  un  processus  ou  un  service. 

HoneyNet 

Ensemble  d’elements  reels,  a  but  non  productif,  hautement  surveille  et  mis  en 
place  pour  leurrer  et  observer  les  agissements  d’attaquants. 
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HoneyPot  tie  production 

Honeypot  dont  le  but  est  d’abaisser  les  risques  pour  une  societe  en  etant  adjoint  au 
systeme  de  production. 

Honeypot  de  recherche 

Honeypot  elabore  dans  le  but  d’acquerir  de  1* information  sur  la  communaute  des 
attaquants. 

HoneyPot  ou  «  pot  de  miel » 

Sens  large  :  ressource  dont  le  but  est  d’etre  testee,  attaquee  ou  compromise  ;  Sens 
restreint :  systeme  connecte  a  un  reseau  de  production  dont  le  but  est  de  leurrer  un 
attaquant ;  Dans  le  cadre  d’un  honeynet :  machine  reelle  au  sein  d’un  honeynet 

IDS,  Intrusion  Detection  System ,  systeme  de 
detection  d’  intrusion 

Systeme  qui  a  pour  objectif  de  deceler  une  tentative  d’ intrusion  sur  l’equipement 
ou  le  systeme  a  proteger. 

Intrusion 

Toute  utilisation  d’un  systeme  informatique  a  des  fins  autres  que  celles  prevues, 
generalement  dues  a  l’obtention  de  privileges  de  fagon  illegitime. 

Leurre  Informatique 

Technique  utilisee  par  les  experts  pour  confondre  un  pirate.  Cela  consiste  a  placer 
sur  un  systeme  des  fichiers  comportant  de  fausses  donnees  qui  captiveront 
l'attention  du  hacker  et  qui  le  maintiendront  plus  longtemps  connecte  jusqu'a  ce 
qu'il  soit  repere 

Backdoor 

Voir  faille. 

Pirate  Informatique 

Expert  en  informatique  et  programmation  dont  le  passe  temps  est  d'explorer  les 
limites  des  systemes  et  des  reseaux 

Signature  d’attaque 

Motif  d’une  attaque  (utilisees  par  les  N-IDS). 

Sniffing  (Ecoute) 

Recuperation  illicite  d'informations  circulant  sur  un  reseau. 

Spoofing 

Voir  mascarade. 

WAREZ 

Site  qui  collecte  de  nombreuses  informations  destinees  aux  hackers. 
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Chapitre  1  -  Introduction 


THALES  Communication  realise  de  nombreux  systemes  et  equipements  dans  le  domaine  de  la  Defense  et 
dispose  d’un  reel  savoir-faire  dans  les  domaines  SSI  et  VAR2,  aussi  bien  sur  les  aspects  organisationnels 
que  techniques. 

THALES  Communication  est,  pour  cette  raison,  a  meme  de  proposer  dans  le  cadre  de  ce  symposium  une 
participation  sur  les  sujets  technologiques  suivants  : 

•  La  detection  d’intrus,  le  controle  et  les  technologies  de  reaction 

•  Les  technologies  «d’appat»  (ressources  informatiques  congues  pour  attirer  les  pirates  et  servir 
d’alarme) 

Dans  le  cadre  de  la  detection  d’intrus,  THALES  Communication  presente  au  chapitre  «  Tests  d’lntrusions 
dans  les  Reseaux  Informatiques  »  et  au  chapitre  «  Intrusion  et  Generation  de  rapports  d’Audits  »  les 
aspects  suivants  : 

•  Inventaire  et  descriptif  des  techniques  les  plus  courantes  des  pirates  informatiques  dans  les 
domaines  des  intrusions  (interception,  balayage,  ecoute,  piegeage,  ingenierie  sociale,  fouille, 
utilisation  et  mise  en  place  de  canaux  caches,  deguisement,  mystification,  rejeu,  deni  de  service, 
virus  et  chevaux  de  Troie,  etc.) 

•  Inventaire  des  differents  outils  (network  based  IDS,  host  based  IDS,  file  integrity  checkers, 
analyseurs  de  logs)  et  classement  selon  principes  de  detection,  comportement  apres  detection, 
sources  et  fonctionnement  (temps  reel  ou  analyse  periodique). 

Dans  le  cadre  des  technologies  «  d’appat »,  THALES  Communication  presente  au  chapitre  «  Appats 
(honeyPot  &  Honeynet)  »  les  aspects  suivants  : 

•  Definition  du  concept  general  de  Honey-Pot  /  Honey-Net,  apports  de  ces  technologies  et  objectifs 
(protection,  etude  des  profils  d’attaques,  desinformations) 

•  Description  des  aspects  d’integration  de  ces  technologies  dans  le  cadre  d’un  systeme 
d’information  (Organisation  et  personnel,  aspects  juridiques  (notion  de  piege  et  responsabilites), 
problemes  lies  aux  rebonds  et  a  la  remontee  d’anonymat,  determination  du  contenu  de  ces 
«  appats  »,  aspects  SSI  de  ces  environnements,  liens  avec  systemes  VAR) 

•  Description  des  relations  entre  les  technologies  IDS  et  «  appat  » 

•  Description  des  differentes  mises  en  oeuvre  (Emulation  par  scripts,  Emulation  de  services  et 
d’environnements,  Creation  d’ environnements) 

Dans  le  cadre  des  protections  en  bordure,  THALES  Communication  presente  au  chapitre  «  passerelle 
inter-reseaux  de  sensibilites  differentes  »  et  au  chapitre  «  Dissimulation  et  fuite  d’information  (Canaux 
Caches)  »  les  aspects  suivants  : 

•  Concepts  techniques  et  organisationnels  des  passerelles  inter-niveaux 

•  Architecture  de  reference  d’une  passerelle 

•  Principals  techniques  de  dissimulation  d’information 
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Nota  :  Les  quelques  elements  presentes  dans  ce  document  ne  couvrent  pas  de  fa$on  exhaustive  tous  les 
aspects  etudies  ou  pris  en  compte,  mais  devraient  permettre  aux  specialistes  d’apprehender  le  perimetre  de 
1’ etude. 
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Chapitre  2  -  Tests  d’lntrusions  dans  les  Reseaux  Informatiques 

2.1  Generalites 

Le  projet  «  Tests  d’lntrusions  dans  les  Reseaux  Informatiques  (TIRI)  [i]  »,  realise  durant  le  premier 
semestre  2000,  avait  pour  buts,  d’une  part  de  realiser  un  etat  de  Tart  sur  les  differentes  techniques 
d’attaques  des  systemes  d’information,  et  d’autre  part  de  definir  et  de  mettre  en  oeuvre  une  plate-forme  de 
tests  d’ intrusions  et  de  sensibilisation. 

Les  techniques  presentees  ont  ete  regroupees  en  deux  categories  :  les  attaques  physiques  et  les  attaques 
logiques.  On  parle  d’attaque  physique  des  lors  que  Tattaque  conceme  le  medium  de  communication  du 
systeme  d’information.  II  peut  par  exemple  s’agir  d’interceptions,  de  brouillages,  de  balayages  ou 
d’ecoutes.  Les  attaques  logiques  consistent  le  plus  souvent  a  exploiter  des  defauts  de  configuration  ou  de 
conception  dans  les  reseaux  ou  dans  les  logiciels.  Les  types  d’attaques  logiques  les  plus  connus  sont  les 
fouilles  de  donnees,  les  canaux  caches,  les  usurpations  d’identites,  les  rejeux  de  sequences,  les  chevaux  de 
Troie,  les  denis  de  service,  les  fuites  d’informations,  les  virus,  les  vers  et  la  cryptanalyse. 

Le  projet  s’est  particulierement  attache  a  la  methodologie  utilisee  par  les  attaquants  pour  s’introduire 
frauduleusement  dans  les  systemes  d’information.  Dans  la  grande  majorite  des  cas,  il  est  possible  de 
distinguer  quatre  phases  distinctes  dans  une  intrusion.  La  premiere  est  une  phase  de  recherche  d’anonymat 
qui  consiste  pour  l’attaquant  a  s’assurer  que  Tattaque  qu’il  compte  mener  lui  procurera  un  tres  haut  degre 
d’anonymat.  La  deuxieme  phase  est  une  phase  de  recherche  d’informations  qui  consiste  le  plus  souvent  a 
realiser  une  cartographic  complete  des  services  du  reseau  ou  de  la  machine  cible.  Cette  etape  permet  a 
Tattaquant  de  selectionner  Tattaque  la  plus  adaptee  qu’il  pourra  alors  lancer  lors  de  la  phase  d’infiltration. 
Enfin  une  attaque  se  termine  souvent  par  une  phase  d’effacement  des  traces  qu’elle  a  laissees. 

L’interet  d’etudier  les  methodologies  d’intrusions  est  de  definir  les  moyens  de  protection  consequents.  Les 
techniques  de  protection  sont  aussi  variees  que  les  techniques  d’attaques.  Tout  comme  il  existe  des  grands 
principes  pour  les  attaques,  il  existe  egalement  des  grands  principes  pour  les  protections  :  principe  du 
moindre  privilege,  principe  de  la  defense  en  profondeur,  principe  du  maillon  faible...  De  la  meme  fa?on, 
tout  comme  il  existe  des  outils  pour  automatiser  les  attaques,  il  existe  des  outils  pour  automatiser  les 
protections  :  pare-feu,  outils  de  chiffrement,  scanners...  Les  procedures  et  les  outils  a  mettre  en  oeuvre 
pour  securiser  un  site  doivent  etre  clairement  definies  dans  un  document  appele  «  politique  de  securite  ». 

2.2  Quelques  Elements  constitutifs  de  l’etude 

Les  pirates  informatiques  utilisent  differentes  techniques  pour  obtenir  la  cartographic  d'un  reseau.  Selon 
les  outils  utilises,  les  traces  seront  plus  ou  moins  visibles  dans  les  fichiers  de  journalisation ;  aussi, 
Tattaquant  va-t-il  essayer  le  plus  souvent  de  passer  tout  simplement  par  l'entree  principale  et  si  possible  de 
fa£on  normale  (il  essaiera  d’  obtenir  un  mot  de  passe),  sinon,  il  utilisera  les  failles  ou  trappes  de  certains 
logiciels. 

2.2.1  Quelques  Exemples  d’ Attaques  Physiques 

Interception  L'attaquant  cherche  a  intercepter  un  signal  electromagnetique  et  a  l'interpreter.  L'interception 
peut  porter  sur  des  signaux  hyperfrequences,  ou  hertziens,  emis,  rayonnes,  ou  conduits.  L'agresseur  se 
mettra  ainsi  a  la  recherche  des  emissions  satellites,  et  radio,  mais  aussi  des  signaux  parasites  emis  par  les 
SI,  principalement  par  les  terminaux,  les  cables  et  les  elements  conducteurs  entourant  les  SI. 

Brouillage  Utilisee  en  telecommunication,  cette  technique  rend  le  SI  inoperant.  C'est  une  attaque  de  haut 
niveau,  car  elle  necessite  des  moyens  importants,  qui  se  detectent  facilement. 
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Balayage  «  scanning  »Le  balayage  consiste  a  envoyer  au  SI  un  ensemble  d'informations  de  natures 
diverses  afin  de  determiner  celles  qui  suscitent  une  reponse  positive.  L'attaquant  pourra  aisement 
automatiser  cette  tache,  et  deduire,  par  exemple,  les  numeros  telephoniques  qui  permettent  d'acceder  a  un 
systeme,  le  type  du  systeme,  et  pourquoi  pas,  le  nom  de  certains  utilisateurs  ainsi  que  leur  mot  de  passe. 

Ecoute  «  sniffing  »  L'ecoute  consiste  a  se  placer  sur  un  reseau  informatique  ou  de  telecommunication  et  a 
analyser  et  a  sauvegarder  les  informations  qui  transient.  De  nombreux  appareils  du  commerce, 
generalement  congus  pour  1’ administration  reseau,  facilitent  les  analyses  et  permettent  notamment 
d'interpreter  en  temps  reel  les  trames  qui  circulent  sur  un  reseau  informatique. 

Piegeage  L'agresseur  tentera  d'introduire  des  fonctions  cachees  dans  le  SI,  en  principe  en  phase  de 
conception,  de  fabrication,  de  transport  ou  de  maintenance. 

2.2.2  Quelques  Exemples  d’Attaques  Logiques 

Ingenierie  sociale  L'ingenierie  sociale  consiste  a  obtenir  des  informations  sur  un  systeme  d'information  en 
exploitant  les  faiblesses  des  utilisateurs.  On  peut,  par  exemple,  envoyer  un  mel  dont  l'expediteur  est 
suppose  etre  l'administrateur  et  demander  au  destinataire  de  changer  son  mot  de  passe,  voire  de  lui  en 
communiquer  un  nouveau  pour  la  maintenance  du  reseau. 

Fouille  La  fouille  informatique,  par  analogic  avec  la  fouille  physique,  consiste  a  etudier  methodiquement 
l'ensemble  des  fichiers  et  des  variables  d'un  SI  pour  en  retirer  des  donnees  de  valeur.  Cette  recherche 
systematique  d'informations  est  en  general  grandement  facilitee  par  la  mauvaise  gestion  des  protections 
classiques  qu'il  est  possible  d'attribuer  a  un  fichier. 

Craquage  de  mots  de  passe  Une  fois  le  mot  de  passe  crypte  recupere,  il  est  necessaire  de  le  retrouver 
sous  sa  forme  originale.  Deux  approches  d’attaques  sont  envisageables.  La  premiere  consiste  a  s’appuyer 
d’un  dictionnaire,  a  crypter  systematiquement  ses  elements  et  a  verifier  si  le  resultat  coincide  avec  le  mot 
de  passe  capture.  La  seconde  methode,  appelee  methode  par  force  brute,  essaye  toutes  les  combinaisons 
possibles  de  caracteres  jusqu’a  obtenir  le  bon  resultat. 

Deguisement  II  s'agit  d'une  attaque  informatique  qui  consiste  a  se  faire  passer  pour  quelqu'un  d'autre,  et 
obtenir  les  privileges  de  celui  ou  celle  dont  on  usurpe  l'identite. 

Mystification  L'attaquant  va  simuler  le  comportement  d'une  machine  pour  tromper  un  utilisateur  legitime 
et  s'emparer  de  son  identifiant  et  de  son  mot  de  passe. 

Rejeu  Le  rejeu  est  une  variante  du  deguisement  qui  permet  a  un  attaquant  de  penetrer  dans  un  SI  en 
envoyant  une  sequence  de  connexion  effectuee  par  un  utilisateur  legitime  et  prealablement  enregistree  a 
son  insu. 

Substitution  Ce  type  d'attaque  est  realisable  sur  un  reseau  ou  sur  un  systeme  d’information  comportant 
des  terminaux  distants.  L'agresseur  ecoute  une  ligne  et  intercepte  la  demande  de  deconnexion  d'un 
utilisateur  travaillant  sur  une  machine  distante.  II  peut  alors  se  substituer  a  ce  dernier  et  continuer  une 
session  normale  sans  que  le  systeme  note  un  changement  d'utilisateur. 

Saturation  :  deni  de  service  (Dos  ou  Ddos)  Cette  attaque  contre  la  disponibilite  consiste  a  remplir  une 
zone  de  stockage  ou  un  canal  de  communication  jusqu'a  ce  qu'on  ne  puisse  plus  l'utiliser. 

Cheval  de  Troie  Un  cheval  de  Troie  est  un  programme  qui  se  cache  dans  un  autre  programme, 
apparemment  inoffensif,  qui,  des  que  ce  dernier  est  lance,  s'execute  de  fagon  clandestine. 
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Trappe  &  faille  Une  trappe  est  un  point  d'entree  dans  un  systeme  informatique  auquel  les  mesures  de 
securite  normales  ne  sont  pas  appliquees.  Une  trappe  peut  etre  par  exemple,  deliberement  mis  en  place  par 
les  programmeurs  ou  les  personnes  chargees  de  la  maintenance,  pour  des  raisons  de  simplicity  et  de 
rapidite  d’ action  (realisation  de  tests  par  exemple),  et  qu’ils  ont  oublie  de  supprimer. 

Bombe  Une  bombe  est  un  programme  destructif  en  attente  d'un  evenement  specifique  determine  par  le 
programmeur  pour  se  declencher. 

Virus  Un  virus  est  un  programme  parasitant  les  machines  et  capable  de  se  reproduire.  II  est  en  mesure 
d'infecter  d'autres  programmes,  qui  a  leur  tour  se  conduiront  comme  le  virus  pere,  et  peuvent  endommager 
les  systemes. 

Ver  Un  ver  est  un  programme  capable  de  se  propager  de  reseau  en  reseau  et  de  les  rendre  indisponibles. 

Asynchronisme  Ce  type  d'attaque  evoluee  exploite  le  fonctionnement  asynchrone  de  certaines  parties  ou 
commandes  du  systeme  d'exploitation.  Les  requetes  concernant  de  nombreux  peripheriques  sont  mises  en 
file  d'attente  dans  l'ordre  des  priorites  puis  traitees  sequentiellement.  Des  taches  sont  ainsi  endormies  puis 
reveillees  lorsque  les  precedentes  requetes  sont  satisfaites.  A  chaque  fois  qu'une  tache  ou  qu'un 
programme  est  ainsi  endormi,  son  contexte  d'execution  est  sauvegarde  pour  etre  restitue  en  l'etat  lors  du 
reveil.  Ces  sauvegardes  de  contexte  contiennent  done  des  informations  propres  a  l'etat  du  systeme  et  un 
attaquant  averti  peut  les  modifier  afm  de  contoumer  les  mesures  de  securite. 

Cryptanalyse  La  cryptanalyse  est  une  discipline  de  la  cryptographic  dont  le  but  est  de  retrouver  le 
message  clair  a  partir  du  message  chiffre  sans  detenir  tous  les  elements  (cles,  algorithme). 

2.3  Environnement  Technique  etudie 

Selon  des  scenarios  mettant  en  oeuvre  le  deroulement  classique  d’une  attaque  (Anonymat  /  Recherche 
d’ informations  /  Infiltration  /  Effacement  des  traces),  la  plate-forme  de  demonstration  a  permis  de  montrer 
les  mode  d’actions  d’outils  comme  ceux  presentes  ci-dessous. 

Bombes  emails 

•  Kaboom  programme  pour  bombarder  une  boite  aux  lettres 

•  Anonymail  permet  de  creer  des  mels  sous  une  fausse  identite 

•  Homicide  utilitaire  qui  permet  de  bombarder  une  personne  en  dissimulant  l'adresse  source  des 
messages 

•  Avalanche  utilitaire  qui  permet  de  bombarder  un  compte  de  messagerie,  et  permet  egalement 
d'inscrire  le  compte  cible  a  differentes  listes  de  diffusion 

Craquage  de  mots  de  passe 

•  NTUCrack  utilitaire  qui  permet  de  craquer  les  mots  de  passe  Unix 

•  John  The  Ripper  un  des  programmes  les  plus  celebres  pour  craquer  les  mots  de  passe  de  type 
Unix. 

•  LOphtCrack  l'utilitaire  le  plus  celebre  pour  craquer,  entre  autres,  les  mots  de  passe  de  Windows 
NT 
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Deni  de  service 

•  Winnuke  provoque  l'arret  de  Windows  95  et  de  Windows  NT  3.51  et  Windows  NT4  (si  le  service 
Pack  est  inferieur  a  4  car  Microsoft  a  depuis  corrige  la  faille  exploitee) 

•  Killwin  pour  Linux  paralyse  en  quelques  secondes  une  machine  NT  4.0  pack  6  en  envoyant  des 
messages  de  depassement  de  bande  (MSGOOB) 

•  Bitchslap  utilitaire  realise  par  des  hackers  des  groupes  SIN  et  technophoria  permet  d'envoyer  un 
message  de  depassement  de  bande  (MSG  OOB)  vers  le  port  139  d'un  poste  Windows 

•  Portfuck 
Sniffeurs 

•  Ethereal  fonctionne  aussi  bien  sous  Windows  que  sous  Linux 

•  Analyser 
Scanners 

•  Ultrascan  logiciel  de  balayage  de  ports.  II  peut  scanner  une  plage  d'adresses  IP  et  une  plage  de 
ports 

•  Nmap  logiciel  de  balayage  est  assez  sophistique  car  il  peut,  par  exemple,  effectuer  des  balayages 
par  demi-connexions 

Chevaux  de  Troie 

•  Netbus 
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Chapitre  3  -  Intrusion  et  Generation  de  Rapports  d’ Audit 

3.1  Generalites 

Le  projet  «  Tests  d’lntrusion  et  Generation  de  Rapports  d’Audit  (TIGRA)  [4|  »  realise  durant  le  premier 
semestre  2002  s’est  interesse  aux  systemes  de  detection  d’intrusions  communement  denommes  « IDS  ». 
La  premiere  phase  du  projet  a  consiste  a  realiser  un  etat  de  l’art  sur  les  IDS.  L’objet  de  la  deuxieme  phase 
fut  de  mettre  en  oeuvre  un  IDS  au  sein  d’une  plate-forme  de  tests  afin  d’en  presenter  les  differents  aspects. 

Les  trois  fonctionnalites  principals  des  IDS  sont  la  detection  des  attaques.  la  reaction  aux  attaques  et 
T analyse  des  attaques.  Certains  IDS  sont  capables  de  reagir  aux  attaques  en  les  bloquant  (d’un  point  de 
vue  fonctionnel,  ces  IDS  qui  fonctionnent  en  mode  coupure,  se  rapprochent  des  pare-feux)  mais  dans  la 
majorite  des  cas,  un  IDS  est  capable  de  journaliser  les  tentatives  d’attaques,  d’evaluer  leur  niveau  de 
gravite  et  de  declencher  des  alertes  appropriees. 

La  detection  des  attaques  consiste  le  plus  souvent  a  detecter  les  signatures  des  attaques  mais  des  methodes 
d’ analyse  comportementale  commencent  a  apparaitre  (C-IDS).  La  reaction  aux  attaques  peut  se  faire  soit 
de  maniere  active  (blocage  de  Tattaque  ou  derivation)  soit  de  maniere  passive  (journalisation  et  generation 
d’alertes  uniquement).  Les  sources  de  donnees  des  IDS  sont  variees  :  il  peut  s’agir  d’ audits  systemes 
(systemes  de  fichiers),  d’audits  applicatifs  (controle  des  debordements  de  memoire)  ou  encore  des  flux  de 
donnees  transitant  sur  le  reseau. 

Les  deux  types  d’lDS  les  plus  couramment  rencontres  sont  les  «  Network  Based  IDS  »  (N-IDS)  et  les 
«  Host  Based  IDS  »  (H-IDS).  Les  premiers  sont  installes  au  niveau  des  goulets  d’etranglement  (bordures) 
des  reseaux  pour  analyser  les  flux  entrant  et  sortant,  tandis  que  les  seconds  sont  positionnes  sur  les  hotes, 
et  sont  charges  d’analyser  des  sources  de  donnees  plus  variees  (systemes  de  fichiers,  memoire  vive, 
processus  ...). 

Les  IDS  presentent  quelques  limites.  Lorsqu’ils  sont  mal  parametres,  ils  peuvent  generer  des  quantites 
importantes  de  «  faux-negatif  »  et  de  «  faux-positifs  ».  Enfin,  d’un  point  de  vue  pratique,  les  IDS  peinent  a 
analyser  des  debits  importants,  et  peuvent  occasionner  des  pertes  de  qualite  de  service.  De  plus,  il  est 
possible  pour  un  attaquant  de  generer  un  grand  nombre  d’attaques  dont  il  sait  qu’elles  sont  tres  couteuses 
en  ressources  pour  1’IDS,  et  ainsi  provoquer  une  rupture  de  service  de  1’IDS. 

3.2  Quelques  Elements  constitutifs  de  l’etude 

3.2.1  Fonctions  utiles  des  IDS  en  matiere  de  SSI 

1  /  Detection  des  attaques  : 

•  detection  precoce  de  Tattaque  afin  de  limiter  sa  propagation  a  un  nombre  restreint  d’hotes 

•  journalisation  des  actions  entreprises  par  1’ attaquant 

•  afin  d’analyser  les  moyens  mis  en  oeuvre  et  comprendre  la  methode  employee  pour  adapter  la 
protection  actuelle 

•  avec  gradation  des  enregistrements  selon  le  niveau  de  gravite 

2  /  Reaction  aux  attaques  : 

•  cloture  de  la  connexion  (Session  Snipping) 

•  reconfiguration  dynantique  des  regies  du  pare-feu 
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•  ou  autre  selon  des  scenarios  d’attaques 

3  /  Avertissement  local  et  /  ou  distant  vers  le  Responsable  SSI 

4  /  Analyse 

3.2.2  Modes  d’action  des  IDS 

Trois  modes  d’ actions  sont  caracteristiques  des  outils  de  detection  d’ intrusion  : 

•  mode  furtif  correspond  a  un  mode  ou  1’IDS  n’offre  aucune  interaction  directe  avec  le  systeme 
(ainsi  un  paquet  qui  le  traverse  conserve  son  adresse  MAC) 

•  mode  coupure  :  toutes  les  trames  sont  controlees  avant  de  pouvoir  passer  (comme  dans  le  cas 
d’un  pare- feu) 

•  mode  ecoute,  sur  un  brin  du  reseau  ou  il  est  possible  d’enregistrer  tout  ou  partie  du  trafic,  il 
collecte  toute  l’information  transitant  sur  le  brin  ( il  n’agit  pas  en  mode  coupure  :  fonction  d’alerte 
en  cas  d’attaque,  mais  pas  de  rejet  de  la  trame  «  suspecte  »). 

3.2.3  Classement  des  IDS 

Il  s’effectue  selon : 

•  le  principe  de  detection  comportementale  (C-IDS)  et  par  scenarios  (essentiellement  base  sur 
signature) 

•  le  comportement  apres  detection  suivant  s’il  est  actif  (reaction  de  riposte  a  l’attaque)  ou  passif 
(journalisation  uniquement) 

•  les  sources  de  donnees  pouvant  provenir  soit  d’un  audit  systeme  (exemple  :  modification  du 
systeme  de  fichiers...),  soit  applicatif  (controle  des  debordement  de  memoire)  ou  encore  de 
paquets  transitant  sur  le  reseau  (N-IDS) 

•  la  frequence  d’ utilisation  selon  si  elle  s’effectue  en  temps  reel  ou  par  analyse  periodique 


Figure  1  :  principes  de  fonctionnement  des  systemes  de  detection  d'intrusion 
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3.2.4  Les  differents  types  d’IDS 
Les  N-IDS  (Network  Based  IDS): 

•  ils  detectent  les  actions  malicieuses  au  niveau  du  reseau  (capture  des  trames  et  comparaison  a  une 
base  d’actions  intrusives  appelees  signatures  d’attaque) 

•  Les  signatures  se  basent  parfois  sur  la  norme  CVE  ( Common  Vulnerability  Exposure)  qui  decrit 
des  attaques  connues 

•  Contrairement  aux  H-IDS,  ils  ne  gerent  pas  les  attaques  operees  sur  un  terminal  (modifications 
fichiers...) 

•  Ex  :  Snort,  Blacklce,  Cisco  Secure  IDS  ou  NetRanger,  Shadow,  RealSecure 
Les  H-IDS  (Host  Based  IDS): 

•  Ils  surveillent  l’etat  d’un  hote  : 

•  controle  de  la  gestion  de  la  memoire  (afm  d’eviter  des  depassements  de  memoire  :  buffer 
overflow ) 

•  controle  de  la  journalisation 

•  controle  des  droits  des  utilisateurs 

•  Ex  :  Swatch,  RealSecure  OS  Sensor,  Intruder  Alert 
Les  File  Integrity  Checkers: 

•  Ils  utilisent  des  outils  cryptographiques  afm  d‘etablir  une  base  de  signatures  des  donnees  a 
proteger  ( motifs  de  scellement).  Ceci  leur  permet  de  deceler  des  modifications  non  autorisees  de  la 
table  de  fichiers 

•  Ex  :  Tripwire,  AIDE,  Intact  ou  Integrit 
Les  autres  types  d’IDS  : 

•  Honeypots  (logiciel  Deception  Toolkit)  et  les  Honeynets  emulent  des  services  dans  le  but  de 
leurrer  un  attaquant  et  de  le  retarder 

•  Les  Hybrid  IDS  ( CyberCop  Monitor  ou  CentraxICE)  qui  regroupent  les  fonctionnalites  d’un  N- 
IDS  et  d’un  H-IDS  sur  un  seul  hote.  Tres  utiles  dans  le  cas  d’une  architecture  commutee  ou  un  N- 
IDS  traditionnel  ne  peut  operer 

•  Les  Network  Node  IDS  (NN-IDS)  charge  de  la  supervision  d’un  groupe  de  machines 

•  les  C-IDS  (pour  Comportemental  IDS).  Ils  surveillent  et  tentent  d’analyser  le  comportement  des 
utilisateurs  internes  et  extemes  au  reseau  : 

•  Detection  par  anomalie  :  elle  se  base  sur  1‘  adage  «  tout  ce  qui  n’est  pas  normal  est 
dangereux  ».  Cette  demarche,  conduit,  par  exemple,  a  joumaliser  tous  les  acces  aux  «  services 
exotiques  »  (i.e.  ports  non  associes  a  un  service  connu  par  exemple) 

•  Detection  par  mauvaise  utilisation  :  «  tout  ce  qui  n  ’est  pas  dangereux  est  normal  » 

•  Spade  (pour  Statistical  Packet  Anomaly  Detection  Engine),  ce  module  effectue  un  recensement 
statistique  des  donnees  sur  le  reseau  local  et  etablit  ainsi  ce  qui  correspond  a  un  «  fonctionnement 
normal  »  ;  schematiquement,  toutes  les  donnees  rares  sont  suspectes. 
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3.3  Environnement  Technique  etudie 

Une  plate-forme  de  test  a  permis  d’apprecier  les  fonctionnalites  types  d’un  IDS  :  Snort3  compile  avec  les 
options  de  reponses  actives  (module  « flexresp  »  permettant  la  cloture  de  «  sessions  malicieuses  »)  et 
d’envoi  de  trappes  SNMP  en  cas  d’alerte. 

3.3.1  Les  attaques  mises  en  oeuvre  : 

Detection  des  balayages  de  ports  («  scan  de  ports  ») 

•  Balayage  de  connexion  TCP  :  simulation  d’une  demande  de  connexion 

•  Balayage  TCP/SYN  methode  consistant  a  envoyer  un  paquet  marque  du  drapeau  SYN  sur  les 
ports  de  l’hote  a  sonder.  Si  le  systeme  renvoie  un  SYN/ACK  pour  un  service  donne  c’est  que  le 
port  est  a  l’ecoute 

•  Balayage  TCP/FIN :  balayage  base  sur  le  type  de  reponse  renvoyee  en  cas  d’envoi  d’un  drapeau 
FIN  a  1 

•  Balayage  Xmas  Tree  :  envoi  a  la  cible  d’une  trame  avec  une  suite  de  zeros  ainsi  que  les  drapeaux 
Urgent  (URG),  Push  (PSH),  et  FIN  a  1 

•  Balayage  NULL  :  la  trame  a  tous  ces  drapeaux  a  0  et  une  sequence  de  0 

Attaque  par  validation  d’entree  Unicode  :  Unicode  a  pour  objectif  de  former  un  jeu  de  caracteres 
unique  pour  tous  les  langages  existants.  L’origine  de  la  faille  se  trouve  dans  les  logiciels  associes  a 
Unicode  comme  le  serveur  Web  Microsoft  IIS 

Vulnerabilite  test-cgi  Cette  vulnerabilite  permet  de  recenser  1’ ensemble  des  fichiers  du  serveur  attaque 

Vulnerabilite  du  script  codebrws.asp  permet  d’editer  n’importe  quel  fichier  contenu  sur  le  poste  de  la 
victime 

Remontee  de  repertoires 

Attaque  par  debordement  de  tampon  (attaque  iishack  sur  le  serveur  Web  Microsoft  IIS  4.0)  un 

utilisateur  tente  de  placer  plus  de  donnees  dans  un  tampon  que  ce  qu’il  ne  peut  en  recevoir 

Remontee  d’informations  vers  l’attaquant  correspond  en  general  a  des  flux  non  autorises  par  la 
politique  de  securite  de  l’entreprise 

3.3.2  Mise  en  evidence  des  limites  de  fonctionnement  des  IDS  actuels 

quatre  limites  ont  ete  testees  au  niveau  de  la  plate-forme  : 

Augmentation  de  la  fenetre  de  temps,  test  est  effectue  avec  nmap,  avec  options  «  Paranoid  »  ( 
balayage  port  toutes  les  5  minutes)  et «  Polite  »  (balayage  port  toutes  les  1 5  secondes) 

Modification  de  la  signature  de  l’attaque 

Attaque  DoS,  tests  effectues  avec  un  «  stresseur  d’lDS  »  (Stick)  : 

•  attaque  portant  sur  le  niveau  IP  :  falsification  de  l’adresse  IP  (l’adresse  IP  source  est 
egale  a  l’adresse  IP  de  destination) 
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•  attaque portant  sur  le  niveau  TCP  :  tentative  de  connexion  sur  un  service  ferme,  ici  telnet 
(port  23  TCP) 

•  attaque  portant  sur  les  niveaux  superieurs  :  attaque  lancee  sur  une  trame  HTTP 
Attaque  repartie,  attaque  realisee  par  plusieurs  assaillants 
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Chapitre  4  -  Appats  (HoneyPot  &  Honeynet) 

4.1  Generalites 

Le  projet  «  HoneyPot  &  Honeynet  (HP&HN)  |3  »  realise  durant  le  premier  semestre  2002  s’est  interesse 
aux  principe  du  «  pot  de  miel »  :  mise  en  oeuvre  de  dispositifs  destines  a  leurrer  les  attaquants  pour  les 
ecarter  des  cibles  sensibles  et  pour  mieux  etudier  leurs  comportements.  L’objectif  du  projet  etait  d’une 
part  de  realiser  un  etat  de  Part  sur  les  HoneyPot  &  Honeynet  et  d’autre  part  de  realiser  une  plate-forme  de 
demonstration. 

Les  HoneyPot  &  Honeynet  ont  l’avantage  de  generer  des  donnees  de  connexions  pertinentes  avec  en 
general  un  bruit  faible.  Contrairement  aux  systemes  de  detection  d’intrusions,  ils  ne  sont  pas  submerges 
par  des  flux  reseaux  et  offrent  done  en  general  une  bonne  disponibilite.  Les  deux  principaux  inconvenients 
lies  aux  HoneyPot  &  Honeynet  sont  d’une  part  la  perte  de  ressources  materielles  et  d’autre  part,  s’ils  sont 
mal  maitrises,  la  possibility  pour  un  attaquant  de  se  servir  de  ces  dispositifs  comme  un  rebond  pour  mener 
ses  attaques  vers  d’autres  systemes. 

Parmi  les  HoneyPot  &  Honeynet  on  peut  distinguer  ceux  de  production  et  ceux  de  recherche.  Les 
HoneyPot  &  Honeynet  de  production  sont  destines  a  leurrer  les  attaquants  pour  les  ecarter  des  zones 
sensibles  du  site  en  leur  proposant  des  defis  plus  simples.  On  parle  alors  souvent  de  «honeypots  ».  Les 
pots  de  miels  de  recherche  sont  destines  a  etudier  le  comportement  des  attaquants  pour  mieux  comprendre 
leurs  methodes  et  leurs  strategies.  Les  «  honeynets  »  par  exemple  recreent  aux  mieux  les  conditions  d’un 
reseau  d’entreprise  en  mettant  souvent  plusieurs  machines  et  materiels  reseau  a  la  disposition  de 
l’attaquant. 

L’ aspect  le  plus  delicat  des  HoneyPot  &  Honeynet  est  sans  doute  le  parametrage  de  leur  niveau  de 
security.  En  de?a  du  seuil  dit  de  la  «  limite  d’ecoute  »,  les  informations  qu’ils  generent  sont  polluees  par 
les  attaques  a  faible  niveau  de  competences  qui  sont  parfaitement  connues  des  responsables  systemes  et 
qui  n’apportent  aucune  information  supplemental  sur  le  comportement  des  attaquants.  Au-dela  du  seuil 
dit  de  la  « limite  de  risque  acceptee  »,  le  HoneyPot  &  Honeynet  devient  fortement  compromis  et  peut 
mettre  en  danger  le  reste  du  systeme  d’ information  (Cf.  plus  loin  les  aspects  «  gradation  de  la  difficult^ 
d’acces). 

D’un  point  de  vue  pratique  les  honeypots  sont  souvent  bases  sur  des  scripts  qui  emulent  des  services  et  des 
environnements  ainsi  que  sur  des  environnements  dits  de  «  prison  ».  Les  architectures  des  honeynets  sont 
plus  variees  et  complexes  et  mettent  en  oeuvre  des  mecanismes  de  controle  de  donnees  et  de  capture 
d’ informations.  Les  mecanismes  de  controle  de  donnees  ont  pour  but  de  maitriser  les  flux  des  attaquants 
pour  les  empecher  d’attaquer  d’autres  systemes.  Les  mecanismes  de  capture  d’ informations  servent  a 
archiver  de  fa£on  sure  les  actions  menees  par  les  attaquants  pour  ensuite  pouvoir  proceder  a  une  analyse 
de  leurs  comportements. 

4.2  Quelques  Elements  constitutifs  de  l’etude 
4.2.1  Perimetre  reel  des  HoneyPots  et  HoneyNets 

Le  concept  de  HoneyPot  et  HoneyNet  depasse  largement  celui  des  outils  censes  les  concretise^  la 
«  cartography  »4  presentee  ci-dessous  propose  un  perimetre  plus  juste  des  aspects  a  prendre  en  compte  : 


4.  Cette  reflexion  peut  s’inscrire  dans  le  cadre  plus  global  de  l’etude  d’une  «  Cartographie  de  la  Maitrise  de  l’Information  », 
HoneyPot  (et  HoneyNet)  representant  alors  un  «  composant  »  mis  a  disposition. 
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Figure  2  :  Les  aspects  des  HoneyPots  et  HoneyNets. 

Organisation  et  personnel :  competence  necessaires  (profils),  processus  de  selection  (conservation  du 
secret) 

Aspects  juridiques  :  notion  de  piege  et  elements  de  preuve,  responsabilite  de  1’organisme 
problemes  de  rebond  :  risques  judiciaires,  information  des  sites  concemes  (amont,  aval) 

Remontee  de  l’anonymat :  droits  et  outils  adaptes 

Contenu  :  composition  de  la  partie  reelle  et  de  la  partie  desinformation 

Gradation  de  la  difficulty  d’acces  :  modulation  du  niveau  de  securite  de  1’HoneyNet  (etape  (1)),  pour 
selection  d’une  categorie  d’attaquants  particuliere  (etape  (2)) 


+ 


Limite  d’ecoute 


Zone  d’ecoute 


Limite  de  Risque  accepte'e 


Competences  de  l’intrus 


Figure  3  :  Securisation  de  I’information  et  competences  de  I’intrus. 
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Evolution  :  en  fonction  des  «  modes  »,  de  l’etude  des  attaques  et  de  T  evolution  des  strategies  d’attaque 

Etude  de  la  Securite  des  Systemes  d’Information  (SSI) :  test  de  moyens  de  protection  ou  copie 
conforme  de  la  politique  SSI  interne 

Type  de  reponse  :  coupure  de  connexion,  envoi  d’un  message  d’avertissement,  riposte 
Veille,  Alerte,  Reponse  (V.A.R.)  :  liens  avec  systeme  VAR  de  1’organisme 
Etude  du  profll  :  analyse  du  profil  des  attaquants,  liens  avec  systemes  de  protection 


4.2.2  Le  HoneyPot 

Le  honeypot  est,  a  l’heure  actuelle,  un  produit  aux  fonctionnalites  plus  ou  moins  avancees  et  presentant 
surtout  des  degres  d’ interaction  avec  l’attaquant  differents. 

•  Emulation  par  scripts  :  un  ensemble  de  scripts  emule  un  certain  nombre  de  vulnerabilites 
connues.  (ex  version  ancienne  d’un  serveur  de  messagerie  Simple  Mail  Transfer  Protocol  (SMTP) 
a  meme  de  foumir  un  fichier  de  mots  de  passe  comportant  de  fausses  empreintes)  ;  l’interet  d’un 
tel  outil  reside  dans  le  leurre  et  dans  la  deception5 

•  Emulation  de  services  et  d’environnements  :  produits,  libres  ou  commerciaux,  permettant  de 
recreer  un  discours  logique  avec  l’attaquant  par  replication  de  la  pile  IP. 

•  Creation  d’environnements  dits  «  prisons  »  :  execute  une  image,  appelee  «  prison  »,  d’un 
systeme  d’ exploitation  au  sein  d’un  autre ;  Cette  image  est  surveillee  et  ne  deborde  pas  vers  le 
systeme  hote,  elle  propose  un  environnement  complet  a  Tattaquant. 

4.2.3  Architecture  et  modele  des  HoneyNets 

Les  HoneyNets  constituent  des  systemes  reels,  rien  n’est  emule  ;  leurs  architectures  reposent  sur  deux 
aspects  critiques,  le  controle  des  donnees,  et  la  capture  des  informations. 

La  figure  suivante  montre  ce  que  pourrait  etre  un  honeynet.  Trois  reseaux  separes  par  un  pare-feu  : 

•  1’  Internet,  reseau  d’ou  surviennent  les  attaques 

•  le  honeynet,  ensemble  de  machines  dont  le  but  est  d’etre  teste,  attaque  ou  compromis  (HP  = 
honeypots) 

•  le  reseau  d’ administration,  reseau  de  confiance  ou  seront  recueillies  les  donnees  du  honeynet  et 
permettra  T administration  de  celui-ci. 


’  entendre  ici  l’acquisition  de  donnees  sur  lesquelles  l’attaquant  depensera  du  temps  pour  un  profit  nul 
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Internet 


Controle  des  donnees  en  provenance  de  l’lnternet :  il  ne  sera  pas  utile  de  tout  observer  ou  laisser 
passer,  il  faudra  limiter  le  trafic  en  provenance  de  l’lntemet 

Controle  des  donnees  en  provenance  des  honeypots  :  eviter  les  rebonds,  permettre  la  capture  de 
donnees  manipulees 

4.3  Environnement  Technique  etudie 
honeypots. 

•  Deception  ToolKit  de  Fred  COHEN,  programme  d’emulation  par  scripts,  est  un  produit  libre  du 
monde  Linux. 

•  Back  Officer  Friendly  de  NFR  Security,  est  libre  de  telechargement  pour  un  usage  personnel, 
previent  l’administrateur  de  toute  tentative  de  prise  de  controle  de  la  machine  par  «Back 
Orifice  »6,  donne  a  l’attaquant  de  fausses  informations,  tout  en  enregistrant  les  adresses  de 
provenance  de  l’intrus  et  ses  differentes  manipulations. (  contient  aussi  des  programmes  simulant 
des  services,  cornme  transfert  de  fichiers  (FTP),  web  (HTTP),  ou  courrier  (SMTP)) 

•  Honeyd  est  un  demon  Linux  qui  cree  des  hotes  virtuels,  il  permet  de  simuler  un  reseau  complet 
repondant  aux  fonctionnalite  TCP/IP  (reponses  PING  et  TraceRoute  par  exemple). 

•  Recourse  Man  Trap  produit  de  la  categorie  des  systemes  de  detection  d’ intrusion,  il  cree  des 
environnements  prisons  surveilles  pour  reperer,  contenir  et  suivre  toute  attaque.  Cet  outil  permet 
aussi  de  gerer  les  reponses  a  mettre  en  oeuvre  :  suivant  le  degre  de  F  attaque,  il  pourra  alerter, 


6.  «  Back  Orifice  »  est  un  programme  repandu.  Il  permet,  par  l’installation  d’un  serveur  sur  la  machine  Windows  convoitee,  de 
donnee  un  acces  complet  a  l’attaquant  executant  le  client  correspondant.  Ceci  lui  permettra  de  revenir,  en  utilisant  cette  porte 
derobee,  comme  bon  lui  semble. 
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enregistrer  le  deroulement  de  l’attaque,  terminer  la  session,  ou  executer  toute  autre  action 
personnalisee. 

•  Specter  emule  differents  systemes,  des  plus  repandus,  comme  Windows  98,  NT,  2000,  MacOs, 
Linux  et  autres  UNIX  comme  Solaris,  NeXTStep,  Tru64,  Irix,  A1X. 

Pour  les  honeynets 

•  Controle  d’acces :  Checkpoint  Fire  Wall-1  est  un  pare-feu  tres  repandu ;  en  plus  des 
fonctionnalites  primaires,  il  permet  un  enregistrement  dans  des  joumaux,  necessaires  pour  T etude 
post-attaque,  le  suivi  des  connexions  actives,  ou  la  surveillance  de  la  securite  des  executables  Java 
ou  ActiveX. 

•  Couche  reseaux  :  IDS  SNORT  systeme  de  detection  d’intrusion  pour  reseau  (NIDS) ;  leger  et  aise 
a  mettre  en  place 

•  Couche  Hors-ligne  :  TripWire,  outil  libre  pour  le  monde  Linux,  verifie  l’integrite  du  systeme  ; 
The  coroner’s  Toolkit  boitc  a  outils  pour  1’ analyse  post-mortem  du  systeme 
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Chapitre  5  -  Passerelle  inter-reseaux  de  sensibilites  differentes 

5.1  Generalites 

La  securite  des  echanges  entre  systemes  d’information  est  un  probleme  d’actualite  d’autant  plus  critique 
que  Ton  assiste  de  nos  jours  a  une  dematerialisation  de  plus  en  plus  generalisee  de  l’infonnation  et  des 
services  associes.  Cette  dematerialisation  s’opere  bien  evidemment  dans  des  secteurs  publics  sensibles  tels 
que  le  secteur  bancaire,  avec  les  transactions  en  ligne  ou  le  secteur  de  1’  assurance  maladie,  avec  la  creation 
de  la  carte  electronique  de  l’assure,  mais  le  secteur  de  la  Defense  ne  fait  pas  exception  a  la  regie  puisqu’il 
connait  une  demande  croissante  en  la  matiere  :  le  cadre  operationnel  tactique  implique  de  plus  en  plus 
d’echanges  et  de  partage  d’ informations  sensibles  (intervention  dans  le  cadre  de  coalitions). 

Malheureusement,  la  recrudescence  et  la  diversite  des  attaques  (deni  de  service,  compromission...) 
tendent  a  ffagiliser  les  reseaux  de  communication  actuels  et  Ton  doit  done  recourir  a  des  solutions 
d’echanges  securises  de  l’information. 

Or,  a  l’heure  actuelle,  les  diverses  reglementations  ne  preconisent  pas  (loin  s’en  faut)  l’echange  directe 
d’information  entre  deux  systemes  de  sensibilite  differente,  elle  impose  parfois  meme  une  rupture 
physique  afin  de  prevenir  une  eventuelle  fuite  d’information  ou  se  premunir  d’eventuelles  attaques 
extemes.  Cette  rupture  physique  empeche  l’automatisation  de  T echange  des  donnees,  et  nuit  alors  aux 
performances  du  service  offert  par  le  systeme. 

C’est  done  afin  de  pallier  cette  limitation  que  THALES  a  etudie,  dans  le  cadre  du  programme  «  Systeme 
d’Echange  Securise  pour  un  Acces  Multi  niveaux  Experimental  (SESAME)  [5]  »  la  possibility  de  creer  une 
passerelle  dite  «  multi  niveaux  »  securisee  qui  reponde  aux  contraintes  fortes  liees  a  T  interconnexion  de  ce 
type  de  systemes. 

Cette  passerelle  met  done  en  oeuvre  un  mecanisme  d’echange  d’information  securise  entre  des  systemes 
de  sensibilite  differente  reposant  principalement  sur  une  notion  de  SAS  cloisonnant  les  deux  systemes  ;  ce 
SAS  devant  etre  automatise  autant  que  possible  afin  limiter  le  besoin  d’ intervention  humaine. 

5.2  Quelques  Elements  constitutifs  de  l’etude 

5.2.1  Rappel  sur  la  reglementation 

Afin  de  realiser  des  systemes  securises  et  homologues  pour  une  utilisation  dans  cadre  classifie  de  defense, 
toutes  les  exigences  de  securite,  d’un  point  de  vue  technique  et  organisationnel,  sont  traduites  au  sein  de 
textes  de  loi  (dispositions  legislatives  et  reglementaires7) ;  elles  doivent  etre  prises  en  compte  en 
particulier  lors  de  T interconnexion  de  systemes  d’information. 

5.2.2  Etat  de  l’art 

Interconnecter  physiquement  deux  reseaux  de  sensibilite  differente  est  a  l’heure  actuelle  souvent  interdit, 
la  seule  solution  sure  et  generalement  autorisee  pour  un  echange  d’information  reste  a  ce  jour  la  rupture 
physique  entre  les  deux  systemes  (mesure  organisationnelle)  :  la  transmission  d’information  s’effectue 
alors  par  support  exteme  (par  exemple  par  disquette  ou  cederom)  detenu  par  une  personne  habilitee  (au 
niveau  de  sensibilite  le  plus  eleve  mis  en  jeu  dans  le  cadre  de  cet  echange). 


7  Rappel :  dans  le  cadre  de  l’OTAN,  les  deux  textes  de  reference  sont  «  Security  within  the  North  Atlantic  Treaty  Organisation 
(NATO)  -  C-M(2002)49  du  17  juin  2002”  pour  ce  qui  conceme  l’homologation  des  SI,  et  «  Directive  sur  les  aspects 
techniques  et  la  mise  en  oeuvre  de  l'INFOSEC  pour  l'interconnexion  des  systemes  d'infonnation  et  de  communication  (SIC)  - 
AC/322-D/0030-REV1  »  pour  ce  qui  conceme  les  interconnexions. 
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5.2.3  Concepts  techniques  et  organisationnels 

Une  architecture  d’echange  securisee  devra,  done,  mettre  en  ceuvre  les  elements  constitutifs  suivants  : 

•  Un  «  SAS  automatise  »  :  un  systeme  d’echange  par  lequel  transite  l’information  sans  qu’il  y  ait 
jamais  de  lien  continu  etabli  entre  systeme  emetteur  et  systeme  recepteur.  Le  SAS  repond  done  au 
besoin  de  coupure  physique  et  rend  le  systeme  etanche  aux  attaques  exterieures. 

•  Un  systeme  de  marquage  ou  de  «  labellisation »  :  permettant  de  caracteriser  la  nature  de 
l’information  en  associant  a  celle-ci  une  description  formelle  plus  ou  moins  detaillee  de  son 
contenu  et  de  sa  sensibilite. 

•  Une  autorite  «  Valideur  »  :  autorite  en  charge  de  decider  si  le  caractere  d’une  information  donnee 
autorise  une  transmission  vers  le  systeme  de  sensibilite  inferieure 

•  Un  systeme  « Infrastructures  a  cle  publique,  ou  PKI  (Public  Key  Infrastructure)  »  :  Infrastructure 
qui  permet  d’etablir  une  relation  de  confiance  dans  le  cadre  d’une  politique  de  securite.  Une  telle 
infrastructure  est  composee  de  plusieurs  elements  : 

•  en  premier  lieu  une  autorite  de  certification  qui  est  chargee  de  generer  les  certificats,  en 
associant  l'identite  d'une  personne  ou  d'un  systeme  a  une  signature  numerique  ; 

•  le  second  element  est  l'autorite  d'enregistrement  qui  capture  et  identifie  l'identite  des 
utilisateurs  et  soumet  les  demande  de  certificats  a  l'autorite  de  certification  ; 

•  le  troisieme  composant  d'une  PKI  est  le  systeme  de  distribution  des  cles. 

•  Un  systeme  de  « Pare-feu  »  :  systeme  permettant  de  proteger  un  ordinateur  des  intrusions 
provenant  du  reseau. 

5.2.4  Une  Passerelle  de  type  hybride  consequente 

La  difference  de  sensibilite  des  flux  montant  et  descendant  nous  mene  a  differencier  le  traitement  a 
realiser  pour  chaque  sens  d’echange  de  donnees. 

Ainsi,  on  utilisera  une  architecture  de  type  diode  simple  au  niveau  du  flux  montant  (ce  flux  etant 
generalement  autorise).  Par  contre,  le  sens  descendant  etant  plus  sensible,  on  a  recours  a  une  architecture 
plus  contraignante,  associant  une  diode  a  un  SAS.  Le  principal  avantage  de  cette  architecture  etant  lie  a 
l’apport  de  notion  de  coupure  physique  entre  les  deux  systemes  grace  au  sas  modelise  par  les  3  pare-feux. 
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Passerelle  de  type  hybride 


Serveur  Guichet  Serveur  Echange 


Figure  5  :  Passerelle  de  type  hybride 


Description  : 


•  Cette  modelisation  apporte  une  optimisation  des  ressources  utilisees  pour  le  transfert  des 
informations  tout  en  essayant  de  conserver  la  notion  de  coupure  physique.  En  effet,  les  deux  pare- 
feu  ne  sont  jamais  passants  en  meme  temps  et  sont  ouverts  et  fermes  en  altemance.  Ainsi  on 
garantit  bien  que  Ton  a  jamais  un  lien  constant  entre  les  deux  systemes  d’information 

•  La  passerelle,  pour  les  echanges  dans  le  sens  descendant,  s’apparente  a  une  DMZ  classique.  En 
effet,  le  serveur  d’ echange  sert  de  proxy  et  est  protege  par  un  pare-feu  A.  Le  pare-feu  B 
supplemental  fonctionne  en  mode  «  diode  »  et  permet  d’ assurer  un  echange  unidirectionnel  (et 
protege  le  reseau  haut  des  attaques). 


5.3  Environnement  Technique  etudie 


protocole  de  transfert 

FTP  (File  Transfert  Protocol) 

developpements 

Java  sur  plate-forme  LINUX  (avec  le  logiciel  l.D.E. 
Jbuilder  pour  la  realisation  de  1’IHM) 

structuration  des  messages  echanges 

XML 

protection  par  pare-feux 

iptables  de  LINUX  avec  regies  de  filtrage  realisees 
grace  au  logiciel  Firewall  Builder 
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Chapitre  6  -  Dissimulation  et  fuite  d’ information  (Canaux  Caches) 

6.1  Generalites 

«  F’etude  sur  la  dissimulation  et  la  fuite  d’information  par  l’intermediaire  de  canaux  caches  (EFF1CACE) 
[6] »  avait  pour  objet  la  realisation  d’un  etat  de  Fart  sur  ces  notions.  Un  panel  des  techniques  pennettant  ces 
actions,  comme  la  steganographie  et  l’encapsulation  protocolaire,  ont  ete  ainsi  etduiees,  des  solutions 
preventives  ont  ete  preconisees  et  mises  en  application  afm  de  limiter  le  champ  d’action  d’un  eventuel 
attaquant  et  par  consequent  la  violation  de  la  politique  de  securite  mise  en  oeuvre. 

Ce  projet  s’inscrit  dans  la  continuite  logique  des  etudes  presentees  plus  haut.  Elle  a  ete  menee  sur  la  plate- 
forme  Tests  d’lntrusions  dans  les  Reseaux  Informatiques  (TIRI)  et  fait  suite  aux  etudes  sur  l’intrusion  et 
Generation  de  Rapports  d’ Audit  (T1GRA)  et  les  Honeypot  (HP/HN). 

Cette  etude  avait  pour  objectif  d’etudier  les  techniques  et  experimentations  actuelles  consacrees  a  la 
dissimulation  et  la  fuite  d’information  au  sens  large,  et  orientee  particulierement  sur  les  problemes  de 
securite  suscites  pour  les  reseaux  sensibles  ;  elle  avait  pour  ambition  de  permettre  l’identification  de  ce 
type  de  vulnerabilites,  et  dans  la  mesure  du  possible  d’y  associer  des  contre-mesures. 

Cette  etude  partait  du  principe  que  les  failles  de  securite,  dans  le  cadre  d’un  echange  d’information,  ne  se 
situent  plus  a  partir  de  la  couche  reseau8  (niveau  2  du  modele  OS1)  mais  a  partir  de  la  couche  application 
(niveau  7  du  modele  OSI) ;  elle  s’est  deroulee  en  parallele  de  l’etude  destinee  a  securiser  le  transfert  de 
donnees  entre  deux  reseaux  de  sensibilites  differentes  (Cf.  Passerelle  inter-reseaux) 9. 

Dans  le  cadre  de  ces  echanges  d’information,  EFF1CACE  nous  a  amenes  a  distinguer  deux  notions  : 

•  1  a  dissimulation  qui  designe  le  fait  de  rendre  invisible  une  donnee.  Typiquement,  il  peut  s’agir 
d’une  donnee  cachee  au  sein  d’une  autre,  au  sein  d’un  systeme  de  fichier,  d’un  processus  toumant 
en  tache  de  fond  et  non  visible  pour  un  utilisateur  ; 

•  1  a  fuite  qui  fait  reference  a  un  transfert  d’information  non  desire  notamment  par  l’usage  de  canaux 
caches.  Une  illustration  de  ce  concept  est  la  recuperation  d’ informations  sensibles  presentes  au 
sein  d’un  reseau  local  securise  depuis  un  poste  situe  sur  l’lntemet  par  l’utilisation  de  failles 
protocolaire. 

Cette  etude  est  partie  des  considerations  suivantes  : 

•  toute  information  est  susceptible  de  contenir  de  1’ information  cachee 

•  la  verification  de  la  presence  d’une  donnee  dissimulee  n’est  pas  l’objet  de  cette  etude  (meme  si 
cela  a  ete  realise  a  titre  indicatif) 

•  un  operateur  peut  a  tout  moment  verifier  les  donnees  echangees  sur  un  reseau. 

Outre  ces  principes,  des  limites  ont  ete  inclues  a  notre  etude  car  chaque  technique  evoquee  au  sein  de  ce 
document  pourrait  faire  l’objet  d’une  etude  a  par  entiere  : 

•  cet  etat  de  Part  porte  uniquement  sur  les  reseaux  de  type  IPv4  et  failles  bees  aux  protocoles 
TCP/IP, 


II  existe  deja  ,  en  effet,  un  certains  nombre  de  solutions,  dont  l’equipement  FOX  de  THALES,  qui  permettent  de  reduire 
considerablement  les  risques  de  vulnerabilites  liees  aux  couches  reseaux. 

L’objectif  de  SESAME  est  de  se  premunir  contre  tout  transfert  d’information  violant  la  politique  de  securite  en  vigueur  pour 
les  reseaux  sensibles. 
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•  P  aspect  mathematique  n’a  pas  ete  aborde. 

6.2  Quelques  Elements  constitutifs  de  l’etude 

6.2.1  Les  techniques  employees  dans  le  processus  de  transfert  et  de  fuite  de  l’information 
Les  faiblesses  des  elements  constitutifs  d’un  reseau 

•  Les  IDS  detection  des  vulnerabilites  connues  uniquement  et  aucune  protection  sur  les 
transactions  securisees  SSL 

•  Les  pare-feux  agissent  generalement  exclusivement  sur  le  type  des  communications  mais  pas 
sur  leur  contenu 

Les  faiblesses  protocolaire 

•  Exploitation  de  l’en-tete  TCP/IP  construction  de  faux  paquets  en  utilisant  certains  champs 
des  en-tetes  IP  et  TCP 

•  Exploitation  de  champs  d’en-tete  inexploites  Ex  :  TCP  et  IGMP 

•  Exploitation  de  la  zone  de  bourrage 

•  L’encapsulation  protocolaire  ex  :encapsuler  des  requetes  dans  des  paquets  ICMP  dont  les 
champs  optionnel  sont  enregistres  et  non  verifie  (route  empruntee  par  la  trame,  temps  de 
parcours) 

Le  tunneling  permet  d’utiliser  des  protocoles  non  autorises  a  travers  un  pare-feu 
Les  troyens  remplissent  des  fonctions  non  desirees,  inconnues  de  Tutilisateur 

Les  spywares  programmes  consu  dans  le  but  de  collecter  des  donnees  personnelles  sur  ses 
utilisateurs.  Ces  donnees  sont  generalement  envoyees  a  son  concepteur 

6.2.2  La  steganographie 

Quelques  exemples  de  techniques  de  steganographie  etudiees. 

Substitution  d’information  et  espaces  reserves 

•  Substitution  des  bits  de  poids  faible  remplacement  des  bits  de  poids  faible  de  codage  d’un  pixel 
d’une  image  (JPEG,  GIF)  par  d’autres  bits  d’information 

•  Permutations  pseudo-aleatoires  incorporation  d’ informations  dans  les  proprietes  statistiques  de 
la  luminance  des  pixels  (ex  :  Outguess) 

•  Les  bits  de  redondance  ecrasement  de  bits  redondants  par  d’autres  bits  d’information 

•  Reorganisation  de  la  palette  de  couleurs  reorganisation  obtenue  par  la  modification  des  bits  de 
poids  faibles  du  codage  des  pixels 

•  Dissimulation  dans  des  fichiers  binaires 

•  Exploitation  d’espaces  inutilises  au  sein  d’un  ordinateur 

•  Les  systeme  de  fichiers  steganographique  (les  systemes  de  fichiers  steganographiques  eux- 
memes  qui  offrent  deux  niveaux  logiques  de  stockage  d’information,  et  les  espaces  interstitiels, 
utilisation  de  l’espace  de  stockage  alloue  a  un  fichier  et  non  utilise) 
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•  Exploitation  du  systeme  de  fichiers  NTFS  exploitation  des  flux  de  fichiers,  ou  ADS 

Les  techniques  de  transformee 

•  Transformation  en  Cosinus  Discret  cette  methode  exploite  le  fait  que  les  valeurs  calculees  par 
l’utilisation  de  cette  transformee  ne  sont  pas  precises,  ainsi  la  repetition  de  tels  calculs  conduit  a 
une  limitation  de  la  precision  et  a  l’introduction  d’erreurs 

•  Steganographie  appliquee  a  un  fichier  audio  la  dissimulation  d’information  dans  les  plages  de 
frequences  inaudible  a  l’oreille  humaine 

L’approche  statistique  methode  utilisee  afm  de  leurrer  les  outils  de  steganalyse 

Encodage  d’information  dans  un  texte  texte  dans  le  texte,  mots  codes  ou  synonymes,  ajout  d’espaces  a 

la  fin  des  phrases  ou  espacement  entre  les  mots 

Techniques  appliquees  aux  documents  proprietaires 

•  Adobe  utilisation  de  l’option  du  menu  Document/Recadrer  pour  cacher  les  marges 

•  MS-Office  informations  « propriete »,  inclusion  automatique  de  donnees  (1NCLUDTEXT), 
utilisation  editeur  hexadecimal  ( UltraEdit ) 

MS  OUTLOOK  et  MS  EXCHANGE  exploitation  du  fichier  winmail.dat 

6.2.3  Le  Watermarking  :  etat  de  l’art 

Le  watermarking  differe  de  la  steganographie  par  le  fait  que  Ton  se  limite  souvent  a  dissimuler  tres  peu 

d’information  (tres  souvent  un  seul  bit)  dans  l’image  hote  et  a  pour  objectif  de  demontrer  l’integrite  du 

document  ou  encore  d’en  proteger  les  droits  d’auteur. 

Les  techniques  de  marquage 

•  Modification  des  bits  de  poids  faible  les  premiers  algorithmes  allaient  inscrire  la  marque  dans 
les  bits  de  poids  faible  de  la  luminance  de  l’image 

•  Technique  du  "Patchwork"  repetition  un  grand  nombre  de  fois  du  meme  bit  pour  qu’une  etude 
statistique  donne  le  bit  marque 

•  Algorithme  de  Koch  et  Zhao  marquage  d’un  bit  sur  les  moyennes  frequences  correspondant  a  un 
calcul  de  transformee  en  cosinus  discrete 

•  Watermarking  par  etalement  de  spectre  envoi  d’un  message  sur  un  grand  spectre  de  frequences 
de  telle  maniere  que,  a  toute  frequence,  la  puissance  du  signal  emis  soit  inferieure  au  bruit 

Les  traitements  malveillants 

•  L’attaque  par  mosaique  effacement  de  signature  par  morcellement  d’image 

•  Stirmark  banc  de  test  permettant  d’apprecier  la  robustesse  d’un  schema  de  tatouage  d’image 
appliquant  principalement  des  distorsions  geometriques 
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6.3  Environnement  Technique  etudie 

6.3.1  Quelques  outils  steganographiques 
Medium  de  type  texte 

•  TextHide  Syst.  Unix,  Windows  dissimule  des  donnees  par  Tintermediaire  d’un  dictionnaire  de 
synonymes 

•  StegParty  Syst.  Unix  utilise  la  ponctuation 

•  Snow  Syst.  Unix  utilise  les  tabulations  et  les  espaces  de  fin  de  ligne 

•  NiceText  Syst.  Unix  utilise  un  dictionnaire  de  synonymes 

•  FFEncode  Syst.  DOS  dissimulation  d’information  par  Tintermediaire  de  caracteres  nuls  utilisant 
un  code  de  type  morse 

Medium  de  type  image 

•  Invisible  Secrets  Syst.  Unix,  Windows  dissimulation  d’un  message  dans  de  nombreux  types  de 
fichier  (JPEG,  PNG,  BMP,  HTML  et  WAV). 

•  Gifshuffle  Syst.  Unix,  Windows  permutation  des  couleurs  dans  la  palette 

•  JPegX  Windows  que  JPG 

•  BMP  Secrets  Windows  que  BMP 

•  Digital  Picture  Envelope  Windows 

•  CryptArkan  Windows  dissimule  des  donnees  dans  une  image  BMP  ou  un  fichier  audio  de  type 
WAV 

•  Cameleon  Windows  chiffrement  AES  256  bits  pour  des  donnees  cachees 

•  JSteg  Shell  Syst.  Unix,  Windows 

•  Outguess  Windows  seul  programme  qui  reste  indetectable  par  Stegdetect  0.2 

Medium  de  type  fichier  audio 

•  W  e  a  v  W  a  v  Free  ware,  Windows  dissimulation  d’information  dans  un  fichier  de  type  WAV 

•  Stego-Lame  Freeware,  Windows  differents  formats  (MP3,  Ogg  Vorbis,  etc.) 

•  MP3Stego  Freeware,  Windows,  Syst.  Unix  peut  egalement  servir  comme  outil  de  marquage  de 
fichier  MP3 

Medium  de  type  fichier  compresse 

•  GZSteg  Freeware,  DOS  dissimule  de  l’information  au  sein  d’un  fichier  de  type  GZip 

Medium  de  type  document  proprietaire 

•  FactMiner  permet  d’extraire  un  grand  nombre  d’ informations  sur  l’auteur  du  document,  le 
produit  d’edition  utilise,  la  langue,  etc.  Ce  logiciel  est  appliquable  aux  documents  de  types  texte, 
RTF,  HTML,  SGML,  XML,  PDF,  PostScript 


7-32 


RTO-MP-IST-041 


IRA  Intrusion  -  Reaction  -  Appats 


6.3.2  Quelques  Exemple  de  troyens 

ACK  Cmd  permet  d’etablir  une  communication  entre  un  attaquant  et  un  serveur  par  l’envoie  de  segments 
ACK  (“Ack  Tunneling”). 

Gatslag  combinaison  entre  un  tunnel  et  un  troyen,  il  exploite  les  faiblesses  d’lntemet  Explorer 

SETIRI  version  amelioree  du  troyen  Gatslag  il  ne  contient  aucune  commande  executable  susceptible 
d’etre  bloquee  par  un  pare-feu 
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Chapitre  7  -  Conclusion 

Tous  ces  aspects  restent  a  conforter  par  les  realisations  et  etudes  internes  relatives  aux  : 

•  Systemes  et  equipements  utilisables  dans  un  cadre  OTAN  (ex  :  chiffrement  IP  agree  OTAN 
TCE621,  chiffreur  Echinops  (agrement  OTAN  en  cours),  systeme  de  controle  d’acces  au  postes 
Minicita) 

•  Equipements  et  architectures  techniques  de  protection  de  bordure  des  systeme  operationnels  de 
coalition  (securisation  des  WAN  de  theatre,  interconnexion  de  systemes  multi-niveaux  de 
securite,  passerelles,  etc.) 

•  Outils  et  etudes  dans  le  cadre  de  la  maitrise  de  P  information  et  de  la  gestion  de  l’environnement 
psychologique  (PSYOPS) 

•  Etudes  VAR 
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■  Le  concept  de  «  defense  en  profondeur  »  preconise  la  succession  de 
barrieres  de  protection  concentriques  et  independantes  autour  du  SI 

■  Premiere  defense  vis  a  vis  de  I  ’exterieur,  la  protection  de  bordure 
(Boundary  Protection  Services  pour  I  ’OTAN)  cumule  de  nombreuses 
technologies  (IPS,  Firewall,  antivirus,  technologies  de  DMZ,  ...) 

■  Les  elements  presentes  ci-apres  et  ayant  fait  I  ’objet  d  ’etudes 
THALES,  concernent  ce  type  de  BPS  : 

■  Techniques  d  ’Intrusion  dans  les  Systemes  d’lnformation 

■  Fuite  d’informations  (Canaux  Caches) 

■  Systemes  de  detection  d’intrusion 

■  Appats  (Honeypots  /  Honeynets) 

■  Passerelle  de  protection 
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Contexte  Etude  sur  Intrusions  ® 


■  Les  etudes  ont  porte  sur  les  outils  et  les  methodes  d’intrusion 

■  Analyse  des  methodes  d’attaque  des  systemes  d’information 

■  Analyse  des  outils  disponibles 

■  Analyse  des  vulnerability  exploitees 

...  et  ont  montre  la  necessaire  adaptation  des  methodes  de  protection 

■  Une  defense  plus  dynamique  (evolution  vers  les  Systemes  de  Protection  contre  les 
Intrusions  IPS) 

■  Completant  une  defense  passive  (Honey  Pot  &  Honey  Net) 

■  Et  un  traitement  des  fichiers  d  ’audit  couvrant  de  longues  periodes 

...  dans  le  cadre  d  ’une  politique  de  securite  coherente 

■  moindre  privilege  (controle  d  ’acces  et  besoin  d  ’en  connaTtre) 

■  Minimalite.  Seuls  les  protocoles  et  services  inter-reseaux  et  les  instructions 
correspondantes  necessaires  a  I'execution  de  la  mission  operationnelle  seront 
autorises  par  I'interconnexion 

■  Noeud  autoprotege  (SPN).  Chaque  SIC  interconnects  traitera  initialement  les 
autres  SIC  comme  non  fiables  et  appliquera  des  mesures  de  protection  pour 
controler  I'echange  d'information  avec  les  autres  systemes 
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■  Les  Techniques  d’intrusion  etudiees  ont  ete  regroupees  selon  deux  categories 

■  Attaques  physiques 

•  Interception,  balayage,  ecoute,  piegeage,  ... 

■  Attaques  logiques 

•  Fouille,  Craquage  de  mots  de  passe,  Deguisement,  Mystification,  Rejeu,  Substitution,  Deni 
de  service,  Cheval  de  Troie,  Trappe  et  faille,  Bombe,  Virus,  Vers,  Cryptanalyse,  ... 

■  Les  principaux  outils  utilises  provenaient  du  Web 

■  Bombes  e-mail  (Kaboom,  Anonymail,  Homicide,  Avalanche,  ...) 

■  Craquage  de  mot  de  passe  (NTUCrack,  John  The  Ripper,  LOphtCrack,  ...) 

■  Deni  de  service  (Winnuke,  Killwin,  Bitchslap,  ...) 

■  Sniffeurs  (Ethereal,  Analyser,  ...) 

■  Scanners  (Ultrascan,  nmap,  ...) 

■  Chevaux  de  Troie  (Netbus,  BackOrifice,  ...) 
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Methodes  d  ’Attaque  ® 


Scenario  classique  d  ’attaque 

Renseignement 

Ecoute,  Recherches,  Espionnage 


Preparation  (mise  en  mode  degrade) 
Saturation,  brouillage,  des information 


Intrusion 

Usurpation,  Cheval  de  Troie,  Exploitation  failles 


Installation 

Porte  derobee,  Canaux  caches 


Camouflage 

Effacement  trace.  Inhibition  surveillance 

i  l 


Propagation 

Rebond,  Virus,  Vers 

i  i 


Attaque 

Destruction,  Alteration,  Espionnage 
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Etude  sur  la  Detection  d’lntrusion  © 


Les  etudes  ont  porte  sur  I  ’etat  de  I  ’art  et  la  mise  en  oeuvre  des  outils  de 
detection  d  ’intrusion  IDS 

■  Elies  ont  montre  une  grande  diversity  de  fonctionnalites  pouvant  couvrir : 

■  Detection  (signature  ou  analyse  comportementale) 

■  reaction  (alarme,  coupure,  reconfiguration  firewall,  derivation) 

■  analyse  sur  donnees  d  ’audit  ou  flux 

■  Une  integration  possible  en  plusieurs  endroit  du  SI 

■  en  bordure  de  reseaux  pour  analyser  les  flux  en  entree  /  sortie  «  Network  Based 
IDS  » 

■  sur  les  reseaux  «  Host  Based  IDS  » 

■  Une  fragility  liee  a  : 

■  difficile  equilibre  entre  faux-negatifs  et  faux-positifs 

■  deviennent  la  cible  de  certaines  attaques  par  saturation 
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Systemes  de  detection  d’intrusion  0 


■  Definition 

■  Principe  de  fonctionnement  des  IDS 

•  Detection  des  attaques 

•  Reaction  aux  attaques 

•  Avertissement  local  et/ou  vers  le  responsable  SSI 

•  Analyse 

■  Mode  d’action  des  IDS 

•  Mode  furtif 

•  Mode  coupure 

•  Mode  ecoute 

■  Parametres  de  classification  des  IDS 

•  Principe  de  detection  (comportementale,  scenario) 

•  Comportement  apres  detection  (Actif  /  Passif) 

•  Sources  de  donnees  (audit  systeme  /  audit  applicatif  /  paquets  reseau) 

•  Frequence  d’utilisation  (temps  reel  /  analyse  periodique) 
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Systemes  de  detection  d’intrusion  (types)  ® 
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Systemes  de  detection  d’intrusion  (outils)  @ 


■  Les  principaux  outils  utilises  provenaient  du  Web 

■  N-IDS  (Network  Based  IDS)  Snort,  Blacklce,  Cisco  Secure  IDS  ou 
NetRanger,  Shadow,  RealSecure 

■  H-IDS  (Host  Based  IDS):  Swatch,  RealSecure  OS  Sensor,  Intruder  Alert 

■  File  Integrity  Checkers:  Tripwire,  AIDE,  Intact  ou  Integrit 

■  autres  types  d’IDS  : 

•  Honeypots  (logiciel  Deception  Toolkit)  et  les  Honeynets 

•  Hybrid  IDS  ( CyberCop  Monitor  ou  CentraxICE)  regroupent  les 
fonctionnalites  d’un  N-IDS  et  d’un  H-IDS 

•  Network  Node  IDS  (NN-IDS)  supervision  d’un  groupe  de  machines 

•  C-IDS  (pour  Comportemental  IDS) 
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Cas  particulier  des  Canaux  Caches  © 


Les  etudes  ont  porte  essentiellement  sur  I’etat  de  I  ’art  et  ont  mis  en  evidence 
deux  notions  «  complements  ires  » 

■  la  dissimulation  qui  designe  le  fait  de  rendre  invisible  une  donnee 

■  la  fuite  qui  fait  reference  a  un  transfert  d’information  non  desire 

■  Elies  ont  montre  que  ces  canaux  caches  utilisaient  certaines  faiblesses 

■  de  certains  elements  de  protection 

•  IDS  (aucune  action  sur  flux  securises  comme  SSL) 

•  Firewall  (peu  ou  pas  d  ’action  sur  le  contenu) 

■  des  protocoles 

•  Exploitation  de  champs  d’en-tete  inexploites  ou  non  controles  (TCP/IP) 

•  Exploitation  de  la  zone  de  bourrage 

•  L’encapsulation  protocolaire 

■  Le  tunneling 

■  Les  troyens  et  spywares 
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Cas  particulier  des  Canaux  Caches  © 


■  Les  principales  techniques  etudiees 

■  steganographie 

•  Substitution  d’information  et  espaces  reserves 

•  Substitution  des  bits  de  poids  faible 

•  Permutations  pseudo-aleatoires 

•  bits  de  redondance 

•  Dissimulation  dans  des  fichiers  binaires 

•  Exploitation  du  systeme  de  fichiers  NTFS 

•  Les  techniques  de  transformee 

•  Transformation  en  Cosinus  Discret 

•  appliquee  a  un  fichier  audio 

•  L’approche  statistique 

•  Encodage  d’information  dans  un  texte 

■  Watermarking 

•  Modification  des  bits  de  poids  faible 

•  Technique  du  "Patchwork" 

•  Watermarking  par  etalement  de  spectre 
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Cas  particulier  des  Canaux  Caches  © 


■  Les  principaux  outils  etudies 

■  steganographiques 

•  Texte  (TextHide  ,  StegParty  ,  Snow  ,  FFEncode  ,  ...) 

•  image  (Invisible  Secrets  ,  Gifshuffle  ,  CryptArkan  ,  Cameleon  ,  Outguess  ,  ...) 

•  audio  (WeavWav  ,  Stego-Lame  ,  MP3Stego  ) 

•  fichier  compresse  (GZSteg  ) 

■  troyens 

•  ACK  Cmd  permet  d’etablir  une  communication  entre  un  attaquant  et  un  serveur  par  I’envoie 
de  segments  ACK  (“Ack  Tunneling”). 

•  Gatslag  combinaison  entre  un  tunnel  et  un  troyen 

•  SETIRI  version  amelioree  du  troyen  Gatslag 
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Honeypots  &  Honeynets 
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Honeypots  &  Honeynets  @ 


Un  concept  simple  a  I  ’application  parfois  complexe,  I’etude  a  mis  en  evidence  les 
aspects  suivants  : 

■  La  notion  de  «  Pot  de  miel  »  peut  s  ’etendre  d  ’un  simple  leurre  (mot  de  passe 
constructeur  conserve)  a  des  environnement  dedie  (reseaux  complets) 

■  Les  objectifs  d  ’un  HP/HN  peuvent  aller  de  la  simple  detection  d  ’une  attaque, 
a  I  ’etude  des  attaques  et  attaquants  (voire  la  disinformation) 

■  Ces  systemes  doivent  etre  reflechis  du  fait  de  la  notion  de  piege  (aspects 
juridiques)  et  des  risques  d  ’utilisation  pour  rebond  (environnement 
volontairement  sous-protege) 


les  apports  principaux  sont : 

■  complement  aux  systemes  de  protection  contre  les  intrusions 

■  identification  des  attaques  et  pirates 

■  connaissance  des  nouvelles  attaques  et  scenarios 
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Honeypots  &  Honeynets  (choix)  0 


HP  /  HN  :  typage  des  attaques 


des  Informations  recuperees 
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Honeypots  &  Honeynets  (parametrage)  © 


HP  /  HN  :  fenetre  de  mise  en  oeuvre 


Complexity 
des  attaques 


HP  HN  Richesse 


des  Informations  recuperees 
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Passerelles  inter-domaines  @ 


■  Les  SI  necessitent  de  plus  en  plus  d’echanges  d’information  y  compris  entre 
domaines  de  sensibilite  (classification)  differente 


■  la  diversity  des  attaques  sur  les  media  de  communication  ainsi  que  le 
necessaire  cloisonnement  (reglementation)  entre  domaines  de  sensibilite 
differente  implique  la  realisation  de  passerelles  securisee 

■  Les  objectifs  de  cette  passerelle  inter-domaines  : 

■  echanges  limites  et  controles  entre  2  domaines  de  sensibilite  differente 

■  protection  de  bordure  (intrusions,  antivirus) 

■  Controle  des  canaux  caches 

■  Controle  des  informations  echangees  entre  les  deux  reseaux 
interconnectes  (sensibilite,  type 

■  Controle  des  droits  et  signatures  (autorisations) 
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Passerelles  inter-domaines  @ 


■  Composition  de  cette  passerelle  inter-domaines  : 

■  Un  «  SAS  automatise  »  ou  serveur  d  ’echange  :  coeur  de  cette  passerelle, 
il  doit  etre  independant  des  deux  reseaux  interconnects 

■  Un  systeme  de  marquage  certifie  (labellisation)  permettant  de  reconnaTtre 
la  qualite  de  I  ’information  qui  transite  sur  le  SAS 

■  Un  systeme  de  validation  sur  le  domaine  le  plus  sensible  permettant  de 
controler  les  informations  «  descendantes  » 

■  Un  systeme  de  PKI  permettant  les  controles  sur  les  echanges  (marquage, 
signature,  droits) 

■  Un  ensemble  de  firewall  permettant  la  mise  en  oeuvre  des  protections  en 
bordure 
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Passerelles  inter-domaines  @ 


Passerelle  de  type  hybride 


Administration  F/W 


* 

* 


□ 


Serveur  Guichet 
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Conclusion  © 


■  Premier  maillon  d  ’une  defense  en  profondeur,  un  systeme  de  protection  de 
bordure  (Boundary  Protection  Services)  devrait  regrouper  tous  ces 
composants  en  un  tout  coherent 

■  Leur  integration  ne  doit  pas  simplement  etre  abordee  du  point  de  vue 
technique,  mais  correspondre  a  une  veritable  politique  de  securite  a 

I  ’interconnexion  (protocole)  qui  doit  prendre  en  compte  les  specificite  des 
domaines  ou  reseaux  interconnects  (politiques  de  securite)  ainsi  que  leurs 
missions 
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